relatório e contas › publicacoes › raepgrcic da spms - 2016.pdf · relatÓrio de execuÇÃo do...

© 2016 SPMS | Serviços Partilhados do Ministério da Saúde, EPE

RELATÓRIO DE EXECUÇÃO DO PLANO DE GESTÃO DE RISCOS DE CORRUPÇÃO E INFRAÇÕES CONEXAS (2015)

Págin

a 0

RELATÓRIO DE EXECUÇÃO DO

PLANO DE GESTÃO DE RISCOS DE CORRUPÇÃO E INFRAÇÕES

CONEXAS 2015/2016

2016


Págin

a 1


Índice

Sumário Executivo ................................................................................................................................. 2

Introdução ............................................................................................................................................. 3

Monitorização do Plano ......................................................................................................................... 6

Monitorização dos Riscos e Medidas Previstas ........................................................................................ 7

A) Riscos Transversais a Toda a Organização ......................................................................................... 7

B) Riscos Específicos Inerentes às Atividades da Competência das Direções ...................................... 13

Riscos Específicos Inerentes às Atividades da Direção de Compras Transversais (DCT) ................................. 13

Riscos Específicos Inerentes às Atividades da Direção de Compras na Saúde (DCS) ...................................... 17

Riscos Específicos Inerentes às Atividades da Direção de Recursos Humanos (DRH) ..................................... 18

Riscos Específicos Inerentes às Atividades da Direção de Sistemas de Informação (DSI) .............................. 20

Riscos Específicos Inerentes às Atividades da Direção Financeira (DF) .......................................................... 23

Riscos Específicos Inerentes às Atividades da Direção de Apoio Jurídico e Contencioso (DAJC) .................... 24

Riscos Específicos Inerentes às Atividades da Direção de Comunicação e Relações Públicas (DCRP) ............ 25

Riscos Específicos Inerentes às Atividades da Direção de Planeamento e Desenvolvimento Organizacional

(DPDO) .............................................................................................................................................. 25

Riscos Específicos Inerentes às Atividades da Unidade de Apoio Geral (UAG) ............................................... 26

Principais Resultados ........................................................................................................................... 28

Notas Finais ......................................................................................................................................... 31


Págin

a 2


Sumário Executivo O Plano de Gestão de Riscos de Corrupção e Infrações Conexas em vigor nos Serviços Partilhados do

Ministério da Saúde, EPE (SPMS) refere-se aos anos de 2015 e de 2016. Ao longo deste período as diferentes

Direções e Unidades de Coordenação da SPMS desenvolveram esforços no sentido de implementarem as

medidas constantes no referido Relatório.

Verifica-se um grau de execução do Plano superior a 90%, como resultado da implementação das medidas

de mitigação previstas para os riscos transversais a toda a organização. Este resultado positivo na execução

do PGRCIC resultou do envolvimento de toda a organização, nomeadamente no que respeita à afetação de

recursos humanos, materiais e financeiros.

Todos os Riscos identificados encontram-se cobertos por medidas de mitigação já efetivamente

implementadas, estando as restantes já em fase de implementação, o que significa que os riscos identificados

foram alvo de atenção, por parte da empresa, no sentido de se implementarem as medidas previstas.

Também no que se refere aos riscos específicos identificados como inerentes a cada Direção o grau de

execução é em todas elas bastante elevado e na sua maioria atinge mesmo os 100%.

Face a estes resultados, tanto transversais como inerentes a cada direção, pode afirmar-se que a SPMS

conseguiu em 2016 assegurar uma adequada execução PGRCIC e implementar a grande maioria das medidas

previstas para os riscos identificados.

Das medidas de mitigação implementadas em 2016 destacam-se:

a) Implementação de sistemas de informação de suporte internos, que permitem uma maior

rastreabilidade dos processos;

b) Promoção da segregação de funções em diversas áreas;

c) Formalização e aprovação de procedimentos internos em várias áreas da organização;

d) Implementação do “Programa de Melhoria Contínua das práticas de Risco e Segurança da Informação”;

e) Desenvolvimento de um Código de Conduta.

No entanto, existem ainda áreas que, apesar de já terem medidas de mitigação implementadas ou em fase

de implementação, carecem de maior reforço, devendo constar novamente no Plano para 2017.


Págin

a 3


Introdução

De acordo com a orientação proveniente da Recomendação nº1/2009, aprovada pelo Conselho de Prevenção

da Corrupção (doravante CPC) e publicada no DR, 2º série, nº140, de 22 de julho de 2009 e da Recomendação

de 1 de julho de 2015, aprovada pelo CPC, impende sobre “Os órgãos máximos das entidades gestoras de

dinheiros, valores ou patrimónios públicos, seja qual for a sua natureza”, o dever de elaborar e divulgar Planos

de Gestão de Riscos de Corrupção e Infrações Conexas1.

No cumprimento do preconizado nas referidas Recomendações, a SPMS tem desenvolvido e implementado

estes Planos e respetivos Relatórios, encontra-se atualmente em vigor o Plano de Gestão de Riscos de

Corrupção e Infrações Conexas (PGRCIC) 2015/2016 (disponível no site da SPMS), baseado nas áreas de

atuação da organização as quais emanam da missão e atribuições que lhe foram acometidas.

A metodologia utilizada para elaboração do (PGRCIC) seguiu as Recomendações supra citadas, bem como o

guião disponibilizado pelo CPC, tendo sido definidos riscos transversais a toda organização, bem como riscos

específicos inerentes às atividades da competência de cada Direção. Os riscos foram classificados segundo

uma escala de risco elevado (E), risco moderado (M) e risco fraco (F), e em função do grau de probabilidade

de ocorrência e da gravidade das suas consequências. Para cada risco identificado foram previstas medidas

de mitigação.

Na sequência da aprovação e implementação do referido Plano, a SPMS procede a um controlo de validação,

no sentido de verificar a conformidade factual entre as normas nele sistematizadas e a respetiva e efetiva

aplicação. O presente Relatório de Execução do Plano de Gestão de Riscos de Corrupção e Infrações Conexas

tem em vista apresentar a implementação das medidas de mitigação para cada um dos riscos identificados,

de acordo com a apresentação adotada no plano.

A análise aqui apresentada teve por base uma autoavaliação realizada pelos Diretores sobre a

implementação das medidas previstas à data de dezembro de 2015 e dezembro de 2016. Foram efetuados

aleatoriamente pelo Gabinete de Auditoria Interna (GAI) alguns testes de conformidade para verificar o

efetivo cumprimento das medidas reportadas.

Para além desta análise identificaram-se novas medidas que são importantes ter em consideração no

desenvolvimento do Plano de Prevenção de Riscos de Corrupção e Infrações Conexas 2017/2018.

1 Na Recomendação nº1/2009 a designação era Plano de Gestão de Riscos de Corrupção e Infrações Conexas, tendo sido alterado o nome na Recomendação de 1 de julho de 2015 para Plano de Prevenção de Riscos de Corrupção e Infrações Conexas.


Págin

a 4


Elaboração do Plano

A metodologia utilizada para elaboração do Plano de Gestão de Riscos de Corrupção e Infrações Conexas

2015/2016 seguiu a Recomendação nº1/2009, aprovada pelo Conselho de Prevenção da Corrupção

(doravante CPC) e publicada no DR, 2º série, nº140, de 22 de julho de 2009 e da Recomendação de 1 de julho

de 2015, aprovada pelo CPC, bem como o guião disponibilizado pelo CPC, o qual compreende as seguintes

partes:

I. Introdução;

II. Caracterização da SPMS;

III. Identificação dos riscos;

IV. Áreas de risco e medidas preventivas;

V. Aplicação do plano e monitorização;

VI. Comunicação e divulgação do Plano.

Segundo o Guião do CPC para elaboração do PGRCIC os riscos devem ser classificados de acordo com uma

escala de risco: elevado, moderado e fraco. A SPMS definiu a matriz de graduação dos riscos que se apresenta

abaixo a qual foi realizada em função de duas variáveis: a probabilidade de ocorrência das situações que

comportam risco e o impacto previsível que as mesmas podem ter como consequência.

Os riscos foram classificados segundo uma escala de risco elevado (E), risco moderado (M) e risco fraco (F) e

em função do grau de probabilidade de ocorrência e da gravidade das suas consequências. Tal probabilidade

foi aferida pela caracterização e especificidades funcionais de cada uma das competências ou funções de

cada área de responsabilidade. Para a análise do risco atendeu-se a duas variáveis, a probabilidade de

ocorrência do risco e o impacto que aquele pode ter na organização.

Probabilidade de ocorrência:

Fraca: o risco decorre de um processo que apenas ocorrerá em circunstâncias excecionais.

Moderada: o risco está associado a um processo esporádico da organização que se admite venha

a ocorrer ao longo do ano;

Elevada: o risco decorre de um processo corrente e frequente da organização.

Impacto previsível:

• Fraco: a situação de risco em causa não tem potencial para provocar prejuízos, não sendo as

infrações suscetíveis de ser praticadas causadoras de danos relevantes na imagem e

operacionalidade da instituição;

• Moderado: a situação de risco pode comportar prejuízos e perturbar o normal funcionamento

do organismo;


Págin

a 5


• Elevado: quando da situação de risco identificada podem decorrer prejuízos significativos e a

violação grave dos princípios associados ao interesse público, lesando a credibilidade do

organismo e do próprio Estado.

A matriz desenvolvida mostra-nos a graduação do risco resultante da conjugação entre estes dois fatores,

sendo: FF – Muito Fraco, F – Fraco, M – Moderado, E – Elevado e EE - Muito Elevado.

Impacto

F M E

Pro

bab

ilid

ade

E M E EE

M F M E

F FF F M

De salientar que a classificação realizada a propósito dos riscos assentou numa classificação baseada na

probabilidade de ocorrência em abstrato de situações passíveis de serem consideradas infrações, criminais

e disciplinares, associadas à corrupção, dada a natureza das atividades desenvolvidas, e não na deteção,

passada ou presente, no serviço, de casos suscetíveis de serem qualificados como casos de corrupção ou de

infrações conexas.

Sem prejuízo da estrutura organizacional existente, de modo a analisar e avaliar os riscos de corrupção e

infrações conexas, considerou-se adequado atender à sua atividade de um ponto de vista funcional

analisando processos transversais a toda organização. Em paralelo procurou-se, por um lado, identificar as

áreas que resumem o primado de atuação da SPMS, as quais emanam essencialmente da missão, atribuições

e competências que lhe foram acometidas. Por outro lado, analisou-se um conjunto de atividades

complementares ou de suporte, essenciais para o eficaz funcionamento da Empresa, potencialmente,

suscetíveis aos riscos em causa.

A metodologia utilizada na definição do risco, no levantamento das áreas de responsabilidade e processos

críticos, bem como, no cruzamento dos conjuntos de atividades com os potenciais riscos de corrupção e

infrações conexas, resultou do envolvimento de todas as direções da SPMS, sendo utilizado como Guião

referencial, conforme orientação da CPC.


Págin

a 6


Monitorização do Plano Para a elaboração do Relatório de Execução do PGRCIC relativamente ao ano de 2016 foi utilizada a mesma

metodologia do ano anterior para verificação da execução das medidas em 2015, embora com alguns ajustes

necessários.

Solicitou-se aos diretores que apresentassem um ponto de situação da implementação das diferentes

medidas sob sua responsabilidade no ano de 2016, descrevendo-as e classificando-as de acordo com o

seguinte estado de execução:

() Concluída, medida foi implementada na totalidade;

() Em curso, medida cuja implementação se encontra em curso;

() Não iniciada, medida não implementada.

Uma vez que uma grande maioria das medidas são continuas e transversais aos dois anos a que dizem

respeito o Plano, mantiveram-se também as colunas relativas às medidas executadas em 2015 que já tinham

sido apresentadas no Relatório de Execução do PGRCIC do ano anterior, por se considerar que facilita a

atualização e compreensão das mesmas.

Os resultados rececionados foram compilados e agendadas reuniões individuais com os Diretores para

esclarecimento de dúvidas relativamente à efetiva execução das medidas.

O resultado desta avaliação e as novas medidas a implementar encontram-se vertidos no presente

documento.

O primeiro quadro sintetiza os riscos e respetivas medidas de mitigação que são considerados transversais a

toda a organização, embora lhes seja associada uma Direção responsável pelo acompanhamento. De seguida,

são apresentadas medidas específicas no sentido de mitigar riscos inerentes às atividades da competência

de cada Direção.


Págin

a 7


Monitorização dos Riscos e Medidas Previstas

A) Riscos Transversais a Toda a Organização

Direção *

Riscos Prob. Imp. Grau Medida 2015 2016

Status Execução

Medidas executadas Status

Execução Medidas executadas

DF

Assunção de despesas sem prévia autorização

F E M

1. Definição do processo de autorização de despesas;

Encontra-se aprovada a delegação de competências nos elementos do Conselho de Administração até 100.000,00€. Encontra-se aprovada a delegação de competências no diretor financeiro até 5.000, 00€. Encontram-se aprovados os procedimentos internos relativos a pagamentos/autorização de despesas e vertidos nas circulares nº 8 e nº 9 de 2015.

(Permanecem as identificadas em 2015) Foram aprovados durante o ano de 2016 alguns procedimentos que contribuem para uma melhor definição dos circuitos de autorização de despesas, nomeadamente, "Lavagem de viaturas", "Gestão de contrato-programa", "Gestão de Clientes Externos" Deu-se ainda início em 2016 à revisão do procedimento interno de reembolso de despesas por deslocações em serviço.

Supressão dos procedimentos necessários/fases de realização de despesa

2. Implementação de aplicação informática que integre as diferentes fases de autorização/execução da despesa em ordem a assegurar segregação de funções e rastreabilidade de decisões.

Implementação do SIGAS: inclui um sistema de alertas com as recomendações do Tribunal de Contas e permite rastreabilidade. Substituição do software contabilístico: iniciado o processo de aquisição do software contabilístico que será implementado em 2016.

Implementação do SIGAS ainda não se encontra generalizada em todas as Direções. Substituição do software contabilístico: Preparado em 2016. Em funcionamento pleno em 2017. Revisão e aperfeiçoamento do processo de validação de faturas no iportaldoc e implementação de novo software de gestão financeira.

TOD

AS

Divulgação, eliminação, sonegação, manipulação ou uso indevido de informação confidencial

M E M

3. Elaboração e atualização contínua das declarações de conflito de interesses e sua divulgação;

As diferentes direções, no âmbito das suas funções, asseguram a existência, atualização e assinatura de declarações de inexistência de conflitos de interesses.

No final de 2016 foi elaborado o Código de Conduta da SPMS no qual consta um capitulo dedicado a "Incompatibilidades e Conflitos de Interesses". Cada Direção, no âmbito das suas funções, tem a responsabilidade de dar a assinar a Declaração do Decreto-lei n.º 14/2014, de 22 de janeiro.

4. Inclusão no código de ética, de regras sobre o sigilo profissional, relacionamento com o público, contactos com os meios de comunicação social, relacionamento com grupos de interesse, entre outros;

A última revisão do Código de Ética (dezembro de 2014) incluí estes aspetos. Todas as direções, no âmbito das suas funções, cumprem as regras instituídas.

No final de 2016 foi elaborado o Código de Conduta da SPMS no qual consta um capitulo dedicado a "Relacionamento com Fornecedores"

5. Divulgação do código de conduta e ética profissional;

Divulgação no site da SPMS. Integra o conjunto dos documentos de acolhimento de novos colaboradores.

No final de 2016 foi elaborado o Código de Conduta da SPMS, tendo sido publicado no site da organização. Este Código é dado a conhecer aos novos colaboradores aquando a sua integração na organização, devendo estes


Págin

a 8


Direção *

Riscos Prob. Imp. Grau Medida

2015 2016

Status Execução



preencher a Declaração de Conhecimento e Compromisso.

6. Existência de uma política de cedência e utilização de dados;

Todos os pedidos de cedência e utilização de dados são objeto de avaliação pelo CA. Está em curso a revisão do procedimento interno de cedência de dados no âmbito revisão da política de segurança de informação

Todos os pedidos de extração de dados são dirigidos ao CA que emite parecer. Foi iniciada a definição de três procedimentos internos que reforçam esta política: "Gerir pedidos de integração com sistemas centrais", "Gerir pedidos de extração de dados RNU" e "Acompanhamento de projetos de investigação".

7. Implementação das medidas de segurança preconizadas no plano de segurança da organização.

Processo de elaboração do Plano de segurança da organização está em curso.

Em implementação o plano desenhado em 2015 Concluído e aprovado em CA (16.12.2016) a Politica de Segurança da informação da SPMS, Versão 2

DSI

Ocultação deliberada de informação aos intervenientes dos processos

M E M

8. Implementação de uma aplicação informática para gestão documental, garantido o acesso por perfis de acordo com as responsabilidades;

Implementação da ferramenta de gestão documental, encontrando-se as áreas de entrada de documentos e o fluxo de validação de faturas já em produção. Em 2016 será alargada a utilização desta ferramenta a novas áreas.

Já em produção na DSI. Em 2017 serão implementadas nas restantes direções.

9. Desenvolvimento de uma intranet para arquivo e partilha de informação da organização.

Implementação em curso.

A intranet da SPMS (myspms.spms.min-saude.pt/) entrou em funcionamento em dezembro de 2016. Este projeto esteve sob a responsabilidade da Direção de Comunicação e Relações Públicas (DCRP)

DF Apropriação ou uso

ilegítimo de bens confiados aos colaboradores em razão das suas funções.

F M M

10. Definição e implementação de políticas de utilização de bens institucionais;

Em 2015 foi realizada a inventariação dos bens nas instalações da SPMS no Porto. Em elaboração o Manual de Gestão de Ativos.

O Manual de Gestão de Ativos está terminado, faltando a sua aprovação e divulgação. Existe uma monitorização contínua dos bens através de etiquetagem e verificações físicas periódicas.

11. Elaboração e atualização contínua das declarações de uso responsável de bens;

Cada colaborador preenche uma ficha individual de identificação dos meios / equipamentos que lhe são confiados.

A DRH entrega aos novos colaboradores para assinarem um Termo de Responsabilidade sobre os equipamentos entregues (computador, telemóvel). Sempre que a UAG entrega um telemóvel a colaboradores da SPMS (excluindo os novos) é assinado um Auto de Entrega. Esta unidade tem um excel com o nº de serie do equipamento, número de cartão e respetivo colaborador a quem foi atribuído.

UA

G 12. Desenvolvimento de um sistema

de controlo interno da gestão de ativos.

Substituição do software contabilístico: Iniciado o processo de aquisição do software contabilístico que contém um módulo de gestão de ativos e que será implementado em 2016.

Substituição do software contabilístico: O software contabilístico contém um módulo de gestão de ativos que foi preparado em 2016 e estará em funcionamento pleno em 2017.


Págin

a 9


Direção *


2015 2016

Status Execução



DP

DO

Incumprimento premeditado de prazos estabelecidos

F M M

13. Desenvolvimento de uma aplicação informática para gestão documental, com sistema de alerta, e sistema de monitorização de tempos de resposta;

Existem várias aplicações informáticas com sistemas de alerta e monitorização de tempos de resposta, foram implementados em 2015: - SGA - Sistema de Gestão de Assiduidade assegura o cumprimento de prazos em termos de recursos humanos; - Sistema Validação de Faturas: assegura o cumprimento de prazos em termos de pagamento de faturas. No segundo semestre de 2016 está prevista a implementação de novos controlos internos para monitorização de tempos de resposta.

A responsabilidade pela implementação da aplicação de gestão documental passou para a esfera da Unidade de Apoio Geral (UAG). Desenvolvimento de trabalhos preparatórios, conducentes à realização durante o 1.º semestre de 2017, de uma ferramenta de gestão documental, que é de aplicação transversal a toda a SPMS.

DP

DO

14. Implementação de sistema de monitorização de compromissos com o exterior.

Implementação em curso. Previsto para 2016 a sua conclusão.

Foi definido o mapa anual de compromissos de reporte e divulgação da SPMS. Além disso, a adoção da plataforma colaborativa SharePoint como instrumento de monitorização de algumas áreas de atividade da SPMS, por exemplo, a execução de contratos e plano de monitorização, configura-se também como uma medida de prevenção de incumprimento de prazos nas obrigações de reporte da SPMS.

DA

JC Violação da

Imparcialidade ou Interesse público

F M M

15. Fundamentação adequada das decisões (tecnicamente, legalmente ou economicamente);

Todas as decisões e serviços adquiridos têm subjacente uma manifestação de necessidade ou parecer onde é realizada a fundamentação técnica.

O template utilizado para manifestação de necessidades de aquisição inclui um parâmetro para fundamentação detalhada da compra. Todos os processos cujo valor de aquisição do bem ou serviço é superior a 20 mil euros são analisados pela DAJC, que emite parecer jurídico sobre os mesmos.

16. Validação superior das decisões por vários níveis de gestão;

Todas as decisões são aprovadas pelo menos por dois níveis de gestão e em cumprimento pelas delegações de competências existentes.

A definição de vários procedimentos internos com identificação de diferentes níveis de decisão reforça esta medida.

17. Incluir, no código de ética, normas para a prevenção de conflitos de interesses;

A última revisão do Código de Ética (dezembro de 2014) contempla estes aspetos.

Reforçada esta medida no novo Código de Conduta elaborado e aprovado em 2016.

18. Implementar mecanismos explícitos que identifiquem e impeçam a ocorrência de conflitos de interesses.

Os procedimentos internos associados às diferentes direções têm previsto estes aspetos, nomeadamente, nas direções de compras e na direção de recursos humanos

Em caso de peritos externos solicita-se a assinatura da Declaração do Decreto-lei n.º 14/2014, de 22 de janeiro. Em alguns contratos de prestação de serviços tem sido solicitado aos prestadores a assinatura de um Acordo de Confidencialidade. Foi proposto pelo GAI ao CA a integração de Acordo de Confidencialidade e Declaração de Interesse como peças obrigatórias nos contratos de aquisição de serviços. Todos os contratos incluem cláusulas de confidencialidade.


Págin

a 1

0


Direção *


2015 2016

Status Execução



DR

H

Pedidos extraordinários urgentes

M F F 19. Definir regras para pedidos extraordinários urgentes conducentes a procedimentos abreviados.

Os processos internos instituídos e aprovados contêm, em regra, o tempo mínimo estimado para a sua execução. Solicitações urgentes conducentes a procedimentos abreviados carecem de fundamentação adicional fundamentada.

Em termos de gestão de Recursos Humanos, muitas vezes surge a necessidade de efetuar trabalhos extraordinários ou deslocações urgentes sem que haja possibilidade de desencadear o devido processo de pedido de autorizações. Estes casos, posteriormente são devidamente fundamentados e submetidos a Conselho de Administração para ratificação do ato. Não se verificam, no entanto, processos escritos sobre o modo de proceder nestes casos, conducentes à sua uniformização. No caso da CCS, são entendidos como pedidos extraordinários urgentes conducentes a procedimentos abreviados os ajustes diretos simplificados, seguindo-se as regras estipuladas no CCP.

DC

T

Ganho económico ilícito nos contratos de aquisição de bens e prestação de serviços

M M M

20. Elaboração de manual de procedimentos;

Implementado Manual de Contratação Pública.

O Manual Prático de Contratação Pública realizado em dezembro de 2015 encontra-se publicado no site da SPMS, para consulta generalizada. Para além deste Manual, encontram-se definidos e publicados em circular interna processos relativos a "Aquisição Centralizada" e "Concurso Público". A Central de Compras da Saúde desenvolveu, ainda, duas Notas Internas relativas a "Comunicações e Notificações a efetuar na Plataforma Eletrónica de Contratação" e "Segregação de Funções - Responsabilidades do Gestor de Projeto".

DF

21.Segregação de funções financeiras e operacionais;

Procedimentos internos implementados no âmbito das funções exercidas assegurando a segregação.

A implementação do novo sistema de gestão financeira reforça esta medida.

22. Definir detalhadamente os termos dos contratos e prestação de serviços;

Procedimentos internos já definidos no âmbito das funções de cada direção. SIGA / TRAMITA – Sistema Informático que permite registar os termos dos contratos.

O SIGA / TRAMITA – Sistema Informático que permite registar os termos dos contratos, não está em pleno funcionamento.

23. Criação de uma unidade de monitorização da execução dos contratos e atribuição de um gestor responsável pelo acompanhamento da execução;

Criada e implementada a função de monitorização.

Não existe uma unidade de monitorização, mas sim um conjunto de procedimentos conducentes a esta atividade. A CCS envia aos gestores de projeto um email a solicitar o nome dos prestadores de serviço afetos ao projeto. Em 2016 começou a ser planeada um Auditoria Interna aos processos associados à boa execução contratual.

24. Arquivo de toda a informação relevante para a monitorização;

Toda a documentação relevante para a monitorização encontra-se arquivada e disponível em papel.

Foi iniciada a definição do procedimento interno de gestão de arquivos da SPMS que se encontra em curso.


Págin

a 1

1


Direção *


2015 2016

Status Execução



Encontra-se em curso a desmaterialização de todo o processo para agilizar o acesso e facilitar a monitorização.

25. Maior responsabilização pelo cumprimento das normas financeira;

Implementação do procedimento do pagamento de faturas procurando reduzir os prazos de pagamento. Não são pagas despesas que não tenham tido instruídas processualmente com compromisso e cabimento prévio. Para situações em que não se aplica o processo de compra está estabelecido processo financeiro próprio.

Implementação do procedimento do pagamento de faturas procurando reduzir os prazos de pagamento. Não são pagas despesas que não tenham tido instruídas processualmente com compromisso e cabimento prévio. Para situações em que não se aplica o processo de compra está estabelecido processo financeiro próprio.

26. Acompanhar e documentar os trâmites dos mesmos.

Medida prevista para 2016

DF Desadequada validação

de faturas M M M

27. Definir processos e respetivos procedimentos inerentes ao ciclo de validação de faturas;

Medida implementada. Medida implementada.

28. Definir normas a ter em consideração para uma correta validação de faturas.


DSI

Prática ou omissão intencional de atos, em violação das regras e políticas de segurança.

M E M

29. Formação e Workshops em segurança da informação transversal a toda a SPMS;


Implementação em curso em matéria de continuidade. Durante o ano de 2016 foram preparados workshops dentro deste âmbito para serem realizados em 2017

30. Estabelecer um sistema de gestão de segurança de informação (SGSI) em linha com a ISO 27799;


Com o objetivo da implementação futura de um SGSI, no âmbito do Programa de Melhoria Contínua do Risco e Segurança da Informação, encontram-se em desenvolvimento as seguintes iniciativas estabelecidas no Plano de Ação de Segurança da Informação (PAS): SEC.02 - B) Definição do âmbito de proteção das iniciativas de Segurança da Informação ; SEC.05 - E) Adoção do modelo de Comunicação para a Gestão da Segurança da Informação; SEC.06 - F) Adoção de processos de gestão Segurança, Politicas e Procedimentos ; SEC.07 - G) Identificação da conformidade legal aplicável e normas internacionais a cumprir; SEC.09 - I) Elaboração de um Protótipo de Análise de Risco de serviços críticos; SEC.10 - J) Identificação de vulnerabilidades, ameaças e riscos associados a ativos; SEC.11 - K) Implementação de Requisitos de Segurança de Informação em Sistemas


Págin

a 1

2


Direção *


2015 2016

Status Execução



(Desenvolvimento integrado na INIC. 06 - F) ; SEC.12 - L) Adoção de um Sistema de Registo de Incidentes de Segurança da Informação

31. Implementar mecanismos de controlo e definir metodologias rigorosas de controlo e auditoria de acessos;


Têm sido implementados diversos controlos de segurança no âmbito do programa de gestão de risco e segurança. Estão em curso atividades de melhoria contínua na implementação desses controlos. Será implementado na SPMS o Active Directory e atualizados os acessos com Cartão de Cidadão.

32. Estabelecer um plano de continuidade de negócio em linha com a norma internacional ISO 22301;

Medida prevista para 2016.

Têm sido implementadas diversas medidas no âmbito do programa de gestão de risco e segurança. Estão em curso atividades de continuidade de negócio.

33. Contratação ou capacitação de recursos humanos em matéria de Gestão de Segurança para a atividade de CISO e Gestão do Risco;

Implementação em curso. Está em curso o reforço para aumento de capacidade na área de risco, privacidade e segurança.

34. Inspeção dos requisitos de segurança da SPMS.

Implementação em curso. Plano de Segurança e normas de acesso em reavaliação.

Foram elaboradas Auditorias de condições de segurança contra incêndios das instalações de Lisboa e Porto. O Plano de Segurança e normas de acesso serão implementadas em 2017.


Págin

a 1

3


B) Riscos Específicos Inerentes às Atividades da Competência das Direções

Riscos Específicos Inerentes às Atividades da Direção de Compras Transversais (DCT)

Atividade Riscos Prob. Imp Grau Medida 2015 2016

Status Execução



Aq

uis

ição

de

Be

ns

e S

ervi

ços

Favorecimento ilícito de fornecedores e adjudicatários na aquisição de bens e prestação de serviços ou entidades

M E E

1. Desenvolvimento de uma aplicação informática para tramitação e monitorização dos procedimentos.

Implementação do SIGAS.

Não está em pleno funcionamento devido a problemas ocorridos na plataforma que causaram constrangimentos na inserção no SIGAS da tramitação. Foram solicitados desenvolvimentos nomeadamente a separação por áreas funcionais. Será avaliado o retorno ao uso do SIGAS em março/abril de 2017. O registo dos processos iniciar-se-á no Catalogo logo que o modulo de agregações esteja instalado o que se prevê que ocorra até final de março.

2. Monitorização da execução orçamental.

Processo instituído e em curso, incluindo nomeadamente reuniões semanais entre as diferentes direções envolvidas.

Realizam-se semanalmente reuniões com diretores para ponto de situação.

3. Implementação de controlo de montantes totais adjudicados em ajustes diretos.

Utilização de ferramentas de controlo com alertas.

Disponibilização semanal ao Vogal da área com todos os processos de compra efetuados

4. Melhoria dos procedimentos existentes visando o reforço das medidas de prevenção.

SIGAS – inclui ferramenta de alertas que sinaliza as recomendações do Tribunal de Contas.

Não se reconhece que o SIGAS tenha tido este desenvolvimento. Irá ser avaliado este processo para atualização no próximo reporte. A Direção divulga a todos os técnicos o entendimento do TC

5. Aumento da rotatividade de fornecedores e prestadores de serviço.

Medida implementada.

Cumprimento do Despacho 851-A/2017, utilização de AQ e na sua falta preferência pelo Concursos Públicos. Justificação da escolha dos fornecedores em sede de ajuste direto.

6. Diversificar a composição do júri.

Envolvimento de todas as entidades/direções requisitantes de serviço na composição do júri.

Integram os júris elementos da CCS e de outras direções.


Págin

a 1

4


Atividade Riscos Prob. Imp Grau Medida

2015 2016

Status Execução



7. Acautelar situações de impedimento na composição do júri ou de quem preparar o procedimento.

A DCS no âmbito dos seus procedimentos exige aos peritos que participam nos nossos grupos de trabalho e júri a Declaração de Inexistência de Incompatibilidades resultante do artigo 4.º do Decreto-lei n.º 14/2014, de 22 de janeiro, cujo modelo anexo e que está de acordo com o disposto no n2º do mencionado artigo. A DCT irá em 2016 incluir nos seus procedimentos internos para o júri dos procedimentos a obrigatoriedade de assinatura da Declaração de Inexistência de Incompatibilidades.

Em caso de peritos externos utiliza-se a Declaração do Decreto-lei n.º 14/2014, de 22 de janeiro.

8. Apresentação de declaração de não impedimento.



9. Definir detalhadamente normas de interação com fornecedores.

A Direção de Compras não interage direta ou pessoalmente com o fornecedor. Todas as interações decorrem através de plataforma eletrónica.

Todos as marcações de reuniões com fornecedores e pedidos de informação são feitos através do email do Catálogo. Não existem relações diretas entre fornecedores e colaboradores da CCS. Todas as reuniões ocorridas são registadas num excel. As regras de atendimento de chamadas telefónicas de fornecedores externos dirigidas à CCS estão definidas na Circular Interna nº14/2015, de 16 de outubro.

Aquisição de bens e/ou serviços fora dos Acordos Quadro da SPMS por desadequação dos mesmos face às necessidades

M E E

10. Incluir nos Acordos Quadros criados pela SPMS mecanismos de atualização de bens e/ou serviços que permitam acompanhar a evolução das categorias.

Foram renovados os Acordos Quadros para garantir a adequação às necessidades.

São utilizados os AQ promovidos pela DCS e ESPAP e encontram-se outros em desenvolvimento.

Fracionamento de despesas, repetição de procedimentos de aquisição do mesmo bem/serviço ao longo do ano

F M F

11. Formalizar o plano anual de compras.

Desenvolvido um levantamento de necessidades e elaborado Plano Anual de Compras. Este plano contribuiu, em parte, para o Plano de Compras da ESPAP.

Anualmente é desenvolvido um Plano de Compras de acordo com as necessidades expressas pelas diferentes Direções da SPMS. Durante 2016 foi desenvolvido para o ano de 2017 um Plano Estratégico de Compras.

12. Monitorização da execução orçamental.


Implementado. Existe um ficheiro que é alimentado pelo Unidade de Aprovisionamento no qual constam todos os processos desenvolvidos nesta unidade e um conjunto alargado de informação associada (valores, tipo de processo, vigência, objeto, etc.)


Págin

a 1

5



2015 2016

Status Execução



13. Implementação de controlo de montantes totais adjudicados em ajustes diretos.


14. Implementação de medidas de segregação de funções.


Medida Implementada. Neste âmbito, a CCS desenvolveu em 2016 duas Notas Internas: • Uniformização de procedimentos das equipas - segregação de funções - responsabilidades do gestor de projeto. • Uniformização de procedimentos das equipas - comunicações e notificações a efetuar na Plataforma Eletrónica de Contratação.

Deficiente planeamento e avaliação das necessidades de aquisição

M E E

15. Formalizar o plano anual de compras; Implementação em curso.

A Unidade de Aprovisionamento já tem o Plano Anual de Compras concluído. O Plano da UMC está em desenvolvimento.

16. Definir e monitorizar o indicador “Percentagem de aquisições fora do plano anual de compras”.

Medida prevista para 2016

Existe um calendário divulgado por ofício em outubro de 2016 que rege as aquisições fora das centralizações.

Não potenciar o princípio da concorrência

F M F

17. Garantir que os Acordos Quadro não restringem o acesso por parte de um número alargado e diversificado de fornecedores.

Todos os Acordos Quadros são alvo de consulta pública prévia ao próprio Acordo Quadro (publicação no site e nos meios de comunicação sociais).

Considera-se que esta medida deve ser reformulada, não fazendo sentido.

EXTRA PLANO

Garantia do principio da Transparência

18. Todos os tipos de processos de compras obrigatoriamente tramitados por plataforma inclusivamente todos os tipos de ajustes diretos;

Medidas executada. Todas as aquisições são realizadas em plataformas eletrónicas.

Divulgação de informação privilegiada

M E E

19. Existência de um sistema de controlo de acessos à base de dados do Catálogo.


20. Reuniões c/ fornecedores só estão autorizadas desde que previamente agendadas para o email do [email protected]

Medida implementada. Mapa mensal com reuniões ocorridas enviado para o GAI.

21. Reuniões c/ fornecedoras só autorizadas com a presença de 2 elementos da DCS.


22. Respostas por emails a co-contratantes e empresas têm obrigatoriamente o email [email protected] em conhecimento.



Págin

a 1

6



2015 2016

Status Execução



23. Email [email protected] para a UMC e [email protected] para o aprovisionamento está alocado à diretora e a todos os técnicos da unidade respetiva impedindo conversações restritas entre técnicos com empresas.


24. Orientações no sentido de que sejam evitadas conversações telefónicas devendo todos os assuntos ser colocados por escrito para o email [email protected] para a UMC e [email protected]



Págin

a 1

7


Riscos Específicos Inerentes às Atividades da Direção de Compras na Saúde (DCS)

Atividade Riscos Prob. Imp. Grau Medida

2015 2016

Status Execução



Ce

leb

raçã

o d

e C

on

trat

os

Pú

blic

os

de

Ap

rovi

sio

nam

en

to

Divulgação de informação privilegiada

M E E

1. Existência de um sistema de controlo de acessos à base de dados do Catálogo.

Medida implementada. Medidas executada

2. Reuniões c/ fornecedores só estão autorizadas desde que previamente agendadas para o email do [email protected]

Acesso por perfil de utilizador. Medidas executada

3. Reuniões c/ fornecedoras só autorizadas com a presença de 2 elementos da DCS.


4. Respostas por emails a cocontratantes e empresas têm obrigatoriamente o email; [email protected] em conhecimento.


5. Email [email protected] está alocado à diretora e a todos os técnicos da direção impedindo conversações restritas entre técnicos com empresas.


6. Orientações no sentido de que sejam evitadas conversações telefónicas devendo todos os assuntos ser colocados por escrito para o email [email protected].


Aco

rdo

s Q

uad

ro

Garantia do princípio da concorrência

7. Promover a renovação dos Acordos Quadro de Medicamentos e Dispositivos Médicos a partir dos 18 meses de vigência.


8. Nas compras efetuadas por contrato de mandato utilização dos Acordos Quadro da SPMS,EPE.


Aq

uis

ição

de

be

ns

e

serv

iço

s

Garantia do princípio da Transparência

9. Todos os tipos de processos de compras obrigatoriamente tramitados por plataforma inclusivamente todos os tipos de ajustes diretos;

Todas as aquisições são realizadas em plataformas eletrónicas.

Medidas executada

10. Utilização do site www.catalogo.min-saude.pt para divulgação de mensagens de interesse para todos os cocontratantes ou empresas

O site é o instrumento de comunicação preferencial com os fornecedores ou empresas.

Medidas executada

EXTRA PLANO

Aq

uis

ição

de

be

ns

e s

erv

iço

s

Favorecimento ilícito de fornecedores e adjudicatários na aquisição de bens e prestação de serviços ou entidades

M E E 11. Acautelar situações de impedimento na composição do júri ou de quem preparar o procedimento.

A DCS no âmbito dos seus procedimentos exige aos peritos que participam nos nossos grupos de trabalho e júri a Declaração de Inexistência de Incompatibilidades resultante do artigo 4.º do Decreto-lei n.º 14/2014, de 22 de janeiro, cujo modelo anexo e que está de acordo com o disposto no n2º do mencionado artigo. A DCT irá em 2016 incluir nos seus procedimentos internos para o júri dos procedimentos a obrigatoriedade de assinatura da Declaração de Inexistência de Incompatibilidades.


http://www.catalogo.min-saude.pt/

http://www.catalogo.min-saude.pt/


Págin

a 1

8


Riscos Específicos Inerentes às Atividades da Direção de Recursos Humanos (DRH)

Atividade Riscos Prob. Imp. Grau Medidas

2015 2016

Status Execução



Ge

stão

do

s p

roce

sso

s in

div

idu

ais

Divulgação de informação de cariz confidencial relativa aos processos individuais dos colaboradores

F E M

1. Definição de procedimentos de segurança a adotar pelos elementos da DRH no que respeita à preservação da informação constante nos processos internos dos colaboradores.

Os procedimentos internos encontram-se definidos sendo acautelado o acesso à informação. O acesso à informação existente na DRH é disponibilizado a qualquer colaborador, quando o requerido seja do interessado na informação. A guarda dos processos individuais encontra-se acautelada por armários devidamente fechados, com acesso restrito a colaboradores internos da unidade orgânica e com regras definidas.

Manutenção das medidas adotadas anteriormente

Re

cru

tam

en

to e

Ava

liaçã

o

Utilização de critérios de recrutamento e de avaliação com excessiva margem de discricionariedade

F M F

2. Elenco objetivo de critérios de seleção de candidatos que permita que a fundamentação das decisões de contratar seja facilmente percetível e sindicável.

Os critérios de preenchimento de posto de trabalho encontram-se definidos e fixados aquando pedido de recrutamento para a tutela. Os critérios de método de seleção utlizados são sempre iguais (avaliação curricular e entrevista). As entrevistas são conduzidas através de um guião com um conjunto de questões similares a todos os candidatos, por forma a ser sindicável.


Não disponibilização, aos interessados, de mecanismos de acesso facilitado e célere a informação procedimental relativa aos procedimentos de seleção ou de avaliação de pessoal

M F F 3. Tornar acessível o acervo de informação sobre a empresa e respetiva política laboral.

A informação está acessível, sendo disponibilizada somente quando requerido pelo interessado, com respeito por dados pessoais existentes no respetivo processo.


Favorecimento ilícito na escolha de recursos humanos a contratar

F F F

4. Processo de recrutamento em várias fases;

Existem duas fases procedimentais no recrutamento - avaliação curricular e entrevista de seleção profissional.


5. Participação de diversos intervenientes no processo de recrutamento;

Em qualquer das fases existe sempre um responsável ou mais responsáveis da área de recursos humanos e outros (s) responsáveis ou técnicos da área do posto de trabalho a ocupar. É sempre assegurado nas entrevistas a participação de três elementos.

Manutenção das medidas adotadas anteriormente. Ao que acresce a deliberação do CA relativamente à nomeação formal dos intervenientes nas entrevistas, bem como a uniformização das ponderações a atribuir na avaliação (INF. 432/DRH/2016, de 22DEZ)

6. Determinação de regras de rotatividade dos elementos que compõem os júris de avaliação e seleção.

Encontra-se acautelada pelas razões anteriormente aduzidas.

Ver nota anterior.


Págin

a 1

9


Atividade Riscos Prob. Imp. Grau Medidas

2015 2016

Status Execução



Pro

cess

ame

nto

de

rem

un

era

çõe

s, o

utr

os

abo

no

s e

de

sco

nto

s

Lapsos na introdução da informação necessária para o devido processamento de remunerações, outros abonos e descontos (horários, controlo de assiduidade, declarações de rendimentos, benefícios sociais de trabalhadores e familiares, penhoras, trabalho extraordinário, serviço externo, deslocações em serviço)

M E M

7. Auditorias internas, com recurso aos processos físicos e ao sistema informático utilizado para processamento de remunerações, outros abonos e descontos – RHV;

Medida prevista para 2016.

Têm sido levadas a cabo algumas iniciativas internas na DRH de cruzamento de dados e verificações de aplicação de normas. Estas iniciativas terão continuidade, de uma forma mais sistematizada, na eventualidade da equipa ser reforçada com as competências para o efeito uma vez que implica um conhecimento profunda da evolução legislativa na área de CT , CTFP, LEO e toda a legislação avulsa, circulares, despachos e orientações técnicas sobre RH. Foi levado a cabo uma iniciativa pelo GAI no que respeita ao abono de ajudas de custo.

Processamento de remunerações, outros abonos e descontos

8. Segregação de funções entre colaboradores responsáveis pelo registo da informação necessária para o devido processamento de remunerações, outros abonos e descontos e o responsável pelo processamento em si mesmo.

Encontra-se acautelado, o colaborador que lança assiduidade não processa o vencimento do mês correspondente.



Págin

a 2

0


Riscos Específicos Inerentes às Atividades da Direção de Sistemas de Informação (DSI)


2015 2016

Status Execução



Sup

ort

e a

os

Uti

lizad

ore

s

Favorecimento de clientes ou desigualdade no tratamento de pedidos (prioridade e qualidade da resposta)

E F M

1. Formação dirigida a colaboradores da área do atendimento e suporte

Previsto no Plano de Formação. A equipa do service desk teve formação em ITIL Foundation em 2016.

2. Monitorização dos tempos de resposta No âmbito do Contrato Programa foram monitorizados os tempos de resposta.

Mantém-se o mesmo que em 2015

3. Monitorização da satisfação dos clientes Foram realizados questionários de satisfação aos principais clientes.

Questionários realizados pela DPDO. Está previsto realizar-se questionários direcionados aos clientes de cada sistema, mas ainda não foi executado (médio prazo)

4. Procedimentos e mecanismos de gestão de reclamações

Implementação prevista para 2016. Previsto para 2016 o desenvolvimento do procedimento de gestão de comunicação de irregularidades.

Responsabilidade conjunta da DPDO, DCRP e GSS - Foi elaborada uma proposta de procedimento pela gestão de serviço para resposta parcial ao risco identificado. Aguarda implementação.

De

sen

volv

ime

nto

de

pro

jeto

s e

si

stem

as Favorecimento de clientes ou

desigualdade na implementação dos sistemas (prioridade e qualidade das ações)

E F M

5. Desenvolver planos de atividades com indicação das agendas de rollout / pilotos pelos vários clientes com justificação e variação da ordem pelo que as novas versões chegam aos clientes.

Identificação das instituições para piloto e plano de roll out são definidos por critérios técnicos garantindo a distribuição geográfica e a representatividade das diferentes tipologias de instituições.

Igual a 2015. Os critérios definidos são técnicos e materiais.

Re

laci

on

ame

nto

com

os

Forn

ece

do

res Aceitação de entregáveis e faturas

sem adequada verificação do cumprimento de todos os requisitos em sede de contrato (qualidade, timings, níveis de serviço etc.)

E E EE

6. Utilização de templates para validação de faturas

Foi implementado o processo no iportal doc: workflow de validação de faturas e foi dada formação na sua utilização a todos os gestores.

Igual a 2015.

7. Formação a todos os Gestores de Projeto em gestão contratos e processo de validação.

Decorreu aquando da disponibilização da aplicação de validação de faturas.

Formação contínua em 2016. A DAJC desenvolveu um ciclo de formações para gestores de projeto.

Pro

cess

os

de

Aq

uis

ição

Favorecimento de empresas em processos de aquisição

E E EE

8. Procedimento de aquisição com obrigatoriedade de fundamentação das opções técnicas do Caderno de Encargos e das decisões na análise de proposta;

Processo integrado na aquisição de serviços: todas as aquisições de serviços têm associado uma especificação técnica dos serviços a prestar.

Todos os processos de aquisição são definidos por um processo integrado, em que constam documentos tais como a demostração de necessidades, especificação técnica e comparação de serviços similares adquiridos em processos anteriores. Todos os processos de 2015 foram atualizados em 2016.


Págin

a 2

1



2015 2016

Status Execução



9. Intervenção de pelo menos 2 elementos da DSI.

O procurement é executado pelas áreas de coordenação, e no qual o segundo elemento (a direção) está envolvida. Está previsto também uma reestruturação da Direção de Sistemas de Informação onde se propõe dois diretores para a área de Sistemas de Informação.

Executado em 2016 o previsto em 2015 relativamente a esta matéria. Efetuada, tal como proposto em 2015, a reestruturação da DSI e nomeados 2 diretores para a área.

Op

era

ção

- m

anip

ula

ção

de

d

ado

s

Eliminação ou alteração indevida de dados com vista a favorecimento

E E EE

10. Política de acessos e operações em ambiente de produção restrita;

A SPMS encontra-se a desenvolver uma política dentro dos Controlos de Cibersegurança – Monitorização e Controlo de Contas de Acesso.

Encontram-se ainda em curso as medidas preconizadas em 2015, sendo que durante 2016 algumas já se encontram implementadas.

11. Desenvolvimento de auditorias.

No âmbito do programa de melhoria contínua das práticas de risco e segurança da informação, está previsto em 2016 o desenvolvimento de auditorias internas.

Durante 2016, foram efetuadas diversas medidas que visavam a auditoria a Sistemas de Informação. Esta matéria de continuidade nos próximos anos, foi iniciada em sistemas centrais em 56 hospitais (auditorias de segurança).

Op

era

ção

- a

cess

o e

ext

raçã

o d

e d

ado

s

Acesso e/ou divulgação indevidos de dados

E E EE

12.Definição de uma política de gestão de acessos com classificação da informação e grupos de utilizadores;

A SPMS encontra-se a desenvolver uma política dentro dos Controlos de Cibersegurança – Monitorização e Controlo de Contas de Acesso.

Encontram-se ainda em curso as medidas preconizadas em 2015, sendo que durante 2016, algumas já se encontram implementadas.

13. Desenvolvimento de auditorias a logs de acesso;

No âmbito do programa de melhoria contínua das práticas de risco e segurança da informação, iniciado em 2015, está previsto em 2016 o desenvolvimento de um SGSI que vai endereçar a componente associada à propriedade intelectual e acessos.

Está planeado o arranque de um projeto de Big Data no sentido de analisar os logs de todos os sistemas existentes, cumprindo assim o programa do risco e segurança.

14. Implementação de procedimentos de autorização de extração e cedência de dados.

Todos os processos de cedência e autorização de dados passam diretamente pela Direção de Sistemas de Informação e obtém validação do Presidente do Conselho de Administração.

Processo contínuo em 2016

Op

era

ção

- a

cess

o a

info

rmaç

ão s

uje

ita

a p

rop

rie

dad

e

inte

lect

ual

Utilização indevida ou divulgação de informação de propriedade intelectual da SPMS

E E EE 15. Política de gestão de acessos com classificação da informação e grupos de utilizadores

No âmbito do programa de melhoria contínua das práticas de risco e segurança da informação, iniciado em 2015, está previsto em 2016 o desenvolvimento de um SGSI que vai endereçar a componente associada à propriedade intelectual e acessos.

Encontram-se ainda em execução as iniciativas do programa de gestão de risco e segurança que satisfazem estes requisitos, tal como o programa de melhoria continua.


Págin

a 2

2



2015 2016

Status Execução



16. Auditorias

No âmbito do programa de melhoria contínua das práticas de risco e segurança da informação iniciado em 2015, está previsto em 2016 o desenvolvimento de um SGSI que vai endereçar a componente associada às auditorias relativamente a acessos.

Encontram-se ainda em execução as iniciativas de privacidade que satisfazem estes requisitos.

Op

era

ção

- A

cess

o L

ógi

co d

e T

erc

eir

os

Risco de acesso de terceiros (empresas de manutenção, ex. colaboradores da SPMS, outros, etc…) através de ligações remotas à informação da Organização e aos recursos de processamento da informação dos processos de negócio.

F E M

17. Estabelecer um protocolo de ligação com as empresas fornecedoras de serviços de manutenção que utilizam a rede de informação da saúde para efeitos de ligação remota.

Medida implementada. Processo contínuo em 2016. Em 2017 será revisto este protocolo.

18. Implementar um modelo e assinatura de acordos de confidencialidade com as empresas que terão acesso a informações da SPMS.

Integrado no processo de aquisição de serviços.

Processo contínuo em 2016. O acordo de RIS será revisto em 2017 e irá cria-se um NDA (non disclosure agreement).

19. Controlo de acesso lógico através do sistema de gestão de identidades que está em implementação.

No âmbito do programa de melhoria contínua das práticas de risco e segurança da informação, iniciado em 2015, está previsto em 2016 o desenvolvimento de um SGSI que vai endereçar a componente associada à gestão de identidades.

Processo contínuo em 2016. Em 2017 será terminada a implementação do Active Directory. Adicionalmente será implementa uma nova layer de segurança com autenticação do cartão de cidadão.

Op

era

ção

-

Ace

sso

Fís

ico

d

e T

erc

eir

os Risco de acesso de terceiros

fisicamente às instalações da SPMS, podendo ter acesso a recursos críticos ou a informação sensível que possa estar vulnerável

F E M 20. Criar controlos dos acessos físico e lógico aos Centros de Dados através de cartão magnético e código de entrada.

Integrado no procedimento de acesso ao datacenter.

Processo contínuo em 2016. O acesso ao datacenter é via impressão digital (medida biométrica)

Pro

pri

ed

ade

inte

lect

ual

Roubo de propriedade intelectual F E M

21. Restrições no acesso à informação de acordo com os perfis atribuídos;

No âmbito do programa de melhoria contínua das práticas de risco e segurança da informação, iniciado em 2015, está previsto em 2016 a assinatura de NDA com fornecedores e colaboradores.


22. Implementação de um sistema de controlo de acessos.

No âmbito do programa de melhoria contínua das práticas de risco e segurança da informação, iniciado em 2015, está previsto em 2016 a implementação de um sistema de controlo de acessos.



Págin

a 2

3


Riscos Específicos Inerentes às Atividades da Direção Financeira (DF)


2015 2016

Status Execução



Pla

ne

ame

nto

e G

est

ão

Orç

ame

nta

l / C

on

tab

ilid

ade

Ge

ral e

de

Cu

sto

s

Falhas intencionais na aplicação devida de normas, procedimentos ou regulamentos de cariz económico-financeiro

F E M

1. Implementação de sistema de monitorização de compromissos com o exterior.

A DF realiza o controlo dos reportes. A DF realiza o controlo dos reportes.

2. Divulgação de manual de processos e procedimentos organizacionais relacionados com o Planeamento e Gestão Orçamental e Contabilidade Geral e de Custos.

Medida prevista para 2016. Medida prevista para 2017

3. Controlos mensais, realizadas pelos dirigentes e demais responsáveis e análise da situação económico-financeira.

Implementação em curso. A DF realiza informação mensal sobre a situação económico-financeira.

Pag

amen

tos

Utilização indevida do cartão de crédito

F M M

4. Assegurar a segregação de funções entre o colaborador com autorização para efetuar pagamentos com cartão de crédito da empresa e o colaborador responsável pelo controlo dos despesas efetuadas e cruzamento da informação dos processos de compras.

Os procedimentos internos definem que os valores só são pagos quando existe compromisso prévio. Todas as despesas são formalizadas e autorizadas previamente.

Os procedimentos internos definem que os valores só são pagos quando existe compromisso prévio. Todas as despesas são formalizadas e autorizadas previamente.

Ge

stão

de

Ati

vos

Falhas intencionais nas diferentes fases do ciclo de gestão de ativos

M M M

5. Etiquetagem e registo imediato dos novos ativos rececionados, para inventariação

Implementação em curso. Medida implementada.

6. Registo das depreciações - Cálculo e registo mensal das amortizações de acordo com as regras do Modelo de Dados previamente definido.

Os procedimentos são realizados de acordo com as normas contabilísticas. Software específico de contabilidade.

Os procedimentos são realizados de acordo com as normas contabilísticas. Software específico de contabilidade.

7. Proceder a inventários físicos periódicos, pelo menos anualmente

Medida prevista para 2016. Medida implementada.

8. Nos casos aplicáveis, envio de informação à Autoridade Tributária do local, data e a forma de abate dos ativos

Implementação em curso. Medida implementada.


Págin

a 2

4


Riscos Específicos Inerentes às Atividades da Direção de Apoio Jurídico e Contencioso (DAJC)


2015 2016

Status Execução



Par

ece

res,

an

ális

e e

pro

po

stas

de

dec

isão

so

bre

req

uer

imen

tos,

re

clam

açõ

es

e r

ecu

rso

s

hie

rárq

uic

os

Manipulação da fundamentação das respostas/ pareceres através da restrição da informação consultada para a elaboração da proposta de decisão, tendo em vista o favorecimento ilícito. Erro intencional na apreciação do processo, possibilitando a sua anulação contenciosa ou proposta de deferimento (incorreto) do pedido;

F E M

1. Reforço dos procedimentos internos de gestão e controlo, através das seguintes medidas: a) Estrutura hierarquizada de decisão, com a consequente análise das matérias em diferentes níveis; b) Maior acompanhamento dos processos mais complexos ou que envolvam montantes mais elevados; c) Duplo grau de apreciação; d) Divulgação dos despachos incidentes sobre matérias mais controvertidas; e) Verificação sistemática da inexistência de incompatibilidades e conflitos de interesses; f) Assinatura de declarações de inexistência de conflitos de interesses por todos os trabalhadores em regime de acumulação de funções; g) Assinatura de declaração de inexistência de conflito de interesses e de comprovativo de seguro profissional por advogados externos; h) Controlo de acesso a informação confidencial.

a) Medida implementada. b) Medida implementada. Todos os processos despoletados pela DCT com valores superiores a 25.000€ são acompanhados pela DAJC. A DAJC analisa as peças e o procedimento antes de ser aprovado pelo Conselho de Administração. c) Medida implementada. Todos os pareceres são revistos por duas pessoas. d) Medida implementada. e) Medida implementada. f) Medida implementada. g) Medida implementada. h) Medida implementada. A DAJC tem medidas Internas de controlo, os assuntos confidenciais são de acesso restrito.

a) Medida implementada.(O Processo é distribuído ao técnico que elabora parecer, o qual é validado pela diretora. b) Medida implementada. Todos os processos despoletados pela DCT com valores superiores a 25.000€ são acompanhados pela DAJC. A DAJC analisa as peças e o procedimento antes de ser aprovado pelo Conselho de Administração e elabora parecer jurídico de conformidade legal. c) Medida implementada. Todos os pareceres são revistos tecnicamente pela Diretora que também é licenciada em Direito. d) Medida implementada (Divulgação diária de legislação relevante e elaboração de alguns resumos de diplomas com impacto) e) Medida implementada (à exceção de situações pontuais em que um elemento da equipa é nomeado júri, a área é de suporte) f) Medida implementada (Cláusula que consta do contrato assinado pelas partes) g) Medida implementada (seguro e imcompabilidade garantida pela OA). h) Medida implementada (A DAJC tem medidas Internas de controlo, os assuntos confidenciais são de acesso restrito).

Falta de uniformização das posições jurídicas em questões controversas

Inexistência de declaração de Conflitos de interesses ou de incompatibilidade, nos casos em que a negociação/redação dos contratos é confiada a advogados externos especializados;

Inexistência de comprovação de que a responsabilidade profissional está devidamente coberta por seguro profissional, nos casos em que a negociação/redação dos contratos é confiada a advogados externos especializados;


Págin

a 2

5


Riscos Específicos Inerentes às Atividades da Direção de Comunicação e Relações Públicas (DCRP)


2015 2016

Status Execução



Co

mu

nic

ação

inte

rna

e e

xter

na

de

info

rmaç

ão

Comunicação privilegiada/favorecimento.

F E M

1. Criar mecanismos de controlo de envio de informação. A informação enviada para o exterior deve ser sempre escrita e do conhecimento do Diretor de Comunicação e Relações Públicas.

A informação dirigida à comunicação social é sempre alvo de validação prévia do CA.

Medida implementada. Os procedimentos realizados são de acordo com o código de ética da SPMS.

Disponibilização intencional de documentos com elementos falsos ou inexatos.

Medida implementada. A informação enviada interna e externamente, é sempre escrita e do conhecimento da Diretora de Comunicação e Relações Públicas.

Divulgação de informação confidencial.

Medida implementada. Os procedimentos realizados são de acordo com o código de ética da SPMS.

Riscos Específicos Inerentes às Atividades da Direção de Planeamento e Desenvolvimento Organizacional (DPDO)


2015 2016

Status Execução



Orç

ame

nta

r n

ovo

s p

roje

tos

em

art

icu

laçã

o

Orçamentação privilegiada /preferencial ou ilícita;

F E M 1. Definição do procedimento de venda de serviços obrigado a aprovação por diferentes níveis de gestão.

Concluído e aprovado em CA

Implementação em 2016, em SharePoint, do processo de registo e monitorização dos procedimentos de orçamentação e venda de serviços.

Elab

ora

r R

ela

tóri

os

de

G

est

ão

Produção intencional de documentos com elementos falsos ou inexatos;

F E M 2. Supervisão por observação e validação em vários níveis da informação divulgada.

Proposta a revisão de informação incoerente no SITE da SPMS

Revisão de informação desatualizada no site da SPMS e elaboração de quadro com os reportes obrigatórios desenvolver e publicar. O Gabinete de Auditoria Interna realizou uma análise de alguns documentos publicados no site da SPMS bem como no Portal do SNS.


Págin

a 2

6


Riscos Específicos Inerentes às Atividades da Unidade de Apoio Geral (UAG)


2015 2016

Status Execução



Ass

egu

rar

a ge

stão

do

exp

ed

ien

te e

se

cre

tari

ado

de

ad

min

istr

ação

Ocultação, desvio ou incorreto encaminhamento de documentação com fins ilícitos

M E E

1. Utilização do sistema de gestão documental que implique registo e permita rastrear toda a documentação recebida e expedida.

Implementação da ferramenta de gestão documental, encontrando-se as áreas de entrada de documentos e o fluxo de validação de faturas já em produção. Em 2016 será alargada a utilização desta ferramenta a novas áreas.

Desenvolvimento de trabalhos preparatórios, conducentes à realização durante o 1.º semestre de 2017, de uma ferramenta de gestão documental, que é de aplicação transversal a toda a SPMS.

Passagem indevida de informação

Atr

ibu

ição

,

con

serv

ação

e

dis

trib

uiç

ão d

o

mat

eri

al

Utilização e/ou atribuição indevida de bens e equipamentos da organização

F E M 2. Realização de inventários periódicos. Em 2015 foi realizado no Porto. Em 2016, foi realizado o levantamento de mobiliário existente em armazém de Lisboa e Porto, em parceria com a Direção Financeira.

Ge

stão

de

via

tura

s d

e s

ervi

ço

Utilização indevida das viaturas de serviço

F F F

3. Verificação do correto preenchimento dos mapas de km efetuados diariamente pelos motoristas;


O mapa de quilómetros é preenchido diariamente pelos motoristas, com a verificação pontual de um dia ou mais por mês, onde é confrontado o número de quilómetros inscritos no formulário, com o real do carro. Este mapa é assinado no final do mês, pelo motorista, com o somatório mensal de quilómetros efetuado por cada carro.

4. Análise dos reportes diários (noturnos e diurnos) dos seguranças dos edifícios onde se encontram guardados os carros para validação do cumprimento da normas e procedimentos referentes à gestão de viaturas.


A segurança do edifício regista todos os dias em relatório próprio os carro que pernoitam na garagem. Na folha de quilómetros também é inscrito pelos motoristas o local de pernoita dos veículos. Mediante manual de utilização, aprovado pelo CA, os motoristas são obrigados a preencher um formulário, com uma breve descrição, sempre que se afigure a necessidade de levar o veículo, para o domicílio necessário. As três confrontações, entre o registo inscrito pelo motorista, o registo da segurança e os formulários de autorização para levar a viatura para o domicílio necessário são feitos pela Coordenadora da UAG, no final de cada mês.


Págin

a 2

7



2015 2016

Status Execução



Ge

stão

e

man

ute

nçã

o d

e

ed

ifíc

ios

Discricionariedade indevida na avaliação das necessidades de bens móveis a disponibilizar e/ou dos serviços a contratar que garantam o normal funcionamentos dos edifícios da SPMS

F F F

5. Assegurar a segregação de funções entre o responsável pelo levantamento das necessidades (UAG) e pela elaboração das peças procedimentais para contratação de bens e/ou serviços (DCT) e acompanhamento da execução do contrato.


A cada necessidade é elaborada uma informação pela UAG, com a especificação da necessidade. A contratação encarrega-se de adjudicar a necessidade. Após adjudicação por parte da contratação, a UAG recebe o contrato que o controla durante a sua vigência, validados as faturas respetivas.


Págin

a 2

8


Principais Resultados

No Plano de Gestão de Riscos de Corrupção e Infrações Conexas de 2015/2016 foram no total identificadas

108 medidas de mitigação dos principais riscos da organização.

Destas medidas, 34 (32%) dizem respeito a riscos transversais a toda a organização e as restantes

especificamente à atividade das Direções, conforme gráfico abaixo apresentado.

Riscos Transversais a Toda a Organização

Segundo a metodologia utilizada pode inferir-se que das 34 medidas transversais previstas 33 já estão

implementadas ou em curso (97%).

Status de Execução das Medidas

Nº de respostas %

() Concluída 17 50,00

() Em curso 16 47,05

() Não iniciada 1 2,94

Total 34 100%

Transversais32%

DCT16%DCS

9%

DRH7%

DSI20%

DF7%

DAJC1%

DCRP1%

DPDO2%

UAG5%


Págin

a 2

9


Riscos Específicos Inerentes às Atividades da Competência das Direções

As Direções da SPMS apresentam diferentes níveis de risco e diferente número de medidas, de acordo com

a natureza das suas competências funcionais. Apesar de apresentarem diferentes níveis de implementação

das medidas, verifica-se em termos globais um nível de implementação superior a 80% em todas elas (incluí

medidas implementadas e medidas com implementação já em curso).

Status de Execução das Medidas ()

Concluída

() Em

curso

() Não

iniciada Total

DCT – Direção de Compras Transversais

19 4 1

(excluida) 24

(17 do Plano + 7 novas + 1 excluída)

DCS – Direção de Compras da Saúde 11 0 0 11

(10 do Plano + 1 nova)

DRH – Direção de Recursos Humanos 7 1 0 8

DSI – Direção de Sistemas de Informação

12 10 0 22

DF – Direção Financeira 7 0 1 8

DAJC – Direção de Assuntos Jurídicos e Contencioso

1 0 0 1

DCRP – Direção de Comunicação e Relações Públicas

1 0 0 1

DPDO – Direção de Planeamento e Desenvolvimento Organizacional

2 0 0 2

UAG – Unidade de Apoio Geral 4 1 0 5

A Direção de Compras Transversais planeou para o biénio 2015/2016 a implementação de 17 medidas mas

com a integração desta Direção na Central de Compras da Saúde, a Diretora fez uma revisão das medidas e

incluiu mais 7 e excluiu 1 das apresentadas por considerar que a medida deveria ser reformulada por já não

fazer sentido, perfazendo um total de 24 medidas. Destas 24 medidas 19 foram implementadas na totalidade

e 4 encontram-se em desenvolvimento.

A Direção de Compras na Saúde tinha previstas 10 medidas, tendo sido acrescentada mais 1 pela Diretora,

encontrando-se todas já implementadas (100%).

No que se refere à Direção de Recursos Humanos estavam planeadas 8 medidas, sendo que 7 já se

encontram implementadas (88%) e 1 está em desenvolvimento.

Relativamente à Direção de Sistemas de Informação, das 22 medidas planeadas, foram totalmente

implementadas 12 e 10 encontram-se em desenvolvimento.


Págin

a 3

0


No que respeita à Direção Financeira verifica-se que foram planeadas 8 medidas, tendo sido já

implementadas 7, ficando a divulgação de manual de processos e procedimentos organizacionais

relacionados com o Planeamento e Gestão Orçamental e Contabilidade Geral e de Custos para 2017.

A Direção de Assuntos Jurídicos e Contencioso, pelas suas especificidades, definiu uma medida cuja

completa implementação resulta de 8 submedidas. Tal como já tinha sido reportado em 2015, estas

encontram-se implementadas na totalidade.

A Direção de Comunicação e Relações Públicas planeou para o biénio 2015/2016 uma medida cuja

implementação se encontra concluída já desde 2015.

A Direção de Planeamento e Desenvolvimento Organizacional já implementou desde 2015 as duas medidas

previstas no PGRCIC (100%).

No que se refere à Unidade de Apoio Geral estavam planeadas 5 medidas, estando 4 já implementadas e 1

relativa ao sistema de gestão documental em fase de implementação.


Págin

a 3

1


Notas Finais O presente Relatório de Execução do Plano de Gestão de Riscos de Corrupção e Infrações Conexas 2015/2016

permite concluir que existiu um esforço institucional no sentido de cumprir as medidas planeadas para

mitigação dos riscos identificados nas diferentes Direções.

Das medidas de mitigação implementadas em 2016 destacam-se:

f) Implementação de sistemas de informação de suporte internos, que permitem uma maior

rastreabilidade dos processos;

g) Promoção da segregação de funções em diversas áreas;

h) Formalização e aprovação de procedimentos internos em várias áreas da organização – desenho e

descrição dos processos organizacionais, resultando num melhor conhecimento e normalização dos

procedimentos, minimizando a probabilidade de erro, aumentando a rastreabilidade e tornando-os

auditáveis.

i) Implementação o “Programa de Melhoria Contínua das práticas de Risco e Segurança da Informação”

promovido pela SPMS com vista a contribuir para o desenvolvimento de boas práticas de referência,

promovendo a adoção dessas práticas pela SPMS e pelas entidades locais de saúde, suportando e

monitorizando a implementação das mesmas, no sentido de garantir sinergias, partilhar de experiência

e uma melhoria sistémica da gestão risco e segurança que suporte os objetivos globais do sistema de

informação da saúde.

j) Desenvolvimento de um Código de Conduta que regula um conjunto de ações importantes no

desenvolvimento da atividade dos colaboradores da SPMS, nomeadamente no que respeita ao

Relacionamento com Entidades Terceiras.

Verifica-se, no entanto, que ainda não há uma utilização generalizada por todas as Direções da Declaração

de Declaração de Inexistência de Incompatibilidades no âmbito de comissões, membros de júri, membros de

grupos de trabalho, etc.

Este Relatório servirá de base para o desenvolvimento de um novo Plano de Prevenção dos Riscos de

Corrupção e Infrações Conexas para começar a ser implementado em 2017, destacando-se como áreas

prioritárias de intervenção a fraude e a segurança dos dados quer dos sistemas de informação da

responsabilidade da SPMS quer os dados internos da organização.

relatório e contas › publicacoes › raepgrcic da spms - 2016.pdf · relatÓrio de execuÇÃo do...

Documents